グループオブジェクト
Active Directoryドメインサービスにおいて、グループはグループオブジェクトとして表されます。 以下の表には、グループオブジェクトの重要な属性がリストされています。
| 属性 | 説明 |
|---|---|
| cn | cn(またはCommon-Name)は、オブジェクトの相対的な識別名である単一値の属性です。 cnは、Active Directoryドメインサービス内のグループの名前を指します。 グループのcnも、他のオブジェクトと同様に、同じコンテナ内の他のオブジェクトとは一意である必要があります。 |
| member | member属性は、グループのメンバーとなるユーザー、グループ、および連絡先オブジェクトの識別名のリストを持つ多値属性です。 リスト内の各項目は、メンバーを表すオブジェクトへのリンクされた参照です。そのため、メンバーオブジェクトが移動または名前が変更されると、Active Directoryサーバーは自動的にmemberプロパティ内の識別名を更新します。 |
| groupType | groupType属性は、グループのタイプとスコープを指定する整数値の単一値属性で、以下のビットフラグを使用します:
最初の3つのフラグはグループのスコープを示します。 ADS_GROUP_TYPE_SECURITY_ENABLEDフラグはグループのタイプを示します。 このフラグが設定されている場合、グループはセキュリティグループであり、 設定されていない場合は配布グループとなります。 詳細については、Group Typesを参照してください。 |
| memberOf | memberOfmemberOf属性は、複数の値を持つ属性であり、そのグループがメンバーとして含まれるグループの識別名のリストが格納されています。 この属性には、直接的にネストされているグループがリストされますが、再帰的なネストされた親グループのリストは含まれません。 例えば、グループDがグループCとグループBにネストされ、グループBがグループAにネストされている場合、グループDのmemberOf属性にはグループCとグループBがリストされますが、グループAは含まれません。 |
| objectGUID | objectGUID属性は、オブジェクトの一意な識別子であり、単一の値を持つ属性です。 この属性は、グローバルに一意な識別子であるグローバル一意識別子(GUID)です。 オブジェクトがディレクトリに作成されると、Active DirectoryサーバーがGUIDを生成し、それをオブジェクトのobjectGUID属性に割り当てます。 GUIDは、企業全体および他の場所でも一意です。 objectGUIDは、128ビットのGUID構造であり、OctetStringとして格納されます。 |
| objectSid | objectSid属性は、グループのセキュリティ識別子(SID)を示す単一の値を持つ属性です。 SIDは、グループをセキュリティプリンシパルとして識別するために使用される一意の値です。 SID は、グループ作成時にシステムが設定するバイナリ値です。 各グループには、Windows NT/Windows 2000 Serverドメインが発行する一意のSIDがあり、それはディレクトリ内のグループオブジェクトのobjectSid属性に格納されます。 ユーザーがログインすると、システムはユーザーが所属するグループのSIDを取得し、それをユーザーのアクセストークンに格納します。 システムは、ユーザーのアクセストークン内のSIDを使用して、Windows NT/Windows 2000セキュリティとのすべての後続の操作でユーザーとグループのメンバーシップを識別します。 SIDがユーザーやグループの一意の識別子として使用されると、それ以降は他のユーザーやグループを識別するために再利用できません。 |
| sAMAccountName | sAMAccountName属性は、以前のバージョンのクライアントやサーバー(Windows 95、Windows 98、およびLAN Manager)をサポートするために使用されるログオン名です。 sAMAccountNameは、以前のバージョンのクライアントやサーバーをサポートするためには、20文字以下である必要があります。 また、sAMAccountNameはドメイン内の全てのセキュリティプリンシパルオブジェクトにおいて一意である必要があります。 |
グループ タイプ
Active Directoryドメインサービスでは、セキュリティグループと配布グループの2つのタイプのグループが定義されています。
セキュリティグループは、オブジェクトの論理的なグループ化を提供し、グループ自体がアクセス制御リスト(ACL)においてセキュリティプリンシパルとして使用できます。 セキュリティグループにオブジェクトへのアクセス権限が与えられると、セキュリティグループの全てのメンバーは自動的に同じアクセス権限を受け取ります。 ユニバーサルスコープを持つセキュリティグループは、電子メールエンティティとしても使用できます。 ユニバーサルセキュリティグループにメールを送信すると、グループの全てのメンバーにメッセージが送信されます。
一方、配布グループはオブジェクトの論理的なグループ化を提供しますが、アクセス権限を与えることはできません。 配布グループはセキュリティが有効化されておらず、ACLにおいてセキュリティプリンシパルとして使用することはできません。 配布グループは単にグループ化の目的で使用されます。 たとえば、Exchangeなどのメールアプリケーションでは、配布リストを使用してユーザーコレクションにメールを送信することができます。
Active Directoryドメインサービスにおけるグループタイプの詳細については、Microsoft TechNetのGroup typesのトピックを参照してください。
グループのスコープ
Active Directoryドメインサービスによって定義されるグループスコープは、ユニバーサル、グローバル、ドメインローカルの3つがあります。 グループのスコープは、グループに属することができるオブジェクトの種類、グループが所属できるグループの種類、およびセキュリティグループがアクセス権を与えられるオブジェクトの範囲を定義します。 ただし、ドメインの機能レベルがWindows 2000混合モードに設定されている場合、ユニバーサルスコープのセキュリティグループは作成できません。
以下の表には、セキュリティグループの3つのスコープとそれぞれのスコープに関する詳細情報が示されています。
| 範囲 | 考えられるメンバー | スコープ変換 | アクセス許可を付与できる | 考えられる所属グループ |
|---|---|---|---|---|
| ユニバーサル |
同じフォレスト内の任意のドメインのアカウント。 同じフォレスト内の任意のドメインのグローバルグループ。 同じフォレスト内の任意のドメインの他のユニバーサルグループ。 |
ドメインローカルスコープに変換可能。 他のユニバーサルグループを含んでいない場合に限り、グローバルスコープに変換可能。 |
同一フォレスト内または信頼関係のあるフォレスト内のどのドメインでも利用できます。 |
同じフォレスト内の他のユニバーサルグループ。 同じフォレストまたは信頼関係のあるフォレストのドメインローカルグループ。 同じフォレストまたは信頼関係のあるフォレストのマシン上のローカルグループ。 |
| グローバル |
同じドメイン内のアカウント。 同じドメイン内の他のグローバルグループ。 |
グループが他のグローバルグループのメンバーでない場合に限り、ユニバーサルスコープに変換可能。 |
同じフォレスト内の任意のドメインまたは信頼関係のあるドメインやフォレスト上で利用可能 |
同じフォレスト内の任意のドメインのユニバーサルグループ。 同じドメイン内の他のグローバルグループ。 同じフォレスト内の任意のドメインまたは信頼関係のある任意のドメインのドメインローカルグループ。 |
| ドメイン ローカル |
任意のドメインまたは信頼関係のある任意のドメインのアカウント。 任意のドメインまたは信頼関係のある任意のドメインのグローバルグループ。 同じフォレスト内の任意のドメインのユニバーサルグループ。 同じドメイン内の他のドメインローカルグループ。 |
グループが他のドメインローカルグループを含んでいない場合に限り、ユニバーサルスコープに変換可能。 |
同じドメイン内で利用可能。 |
同じドメイン内の他のドメインローカルグループ。 同じドメイン内のマシン上のローカルグループ(ただし、一般的なSIDを持つ組み込みグループは除く)。 |